Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Die Krypto-Kategorie in CloudHSM CLI In der CloudHSM-CLI **crypto** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der für kryptografische Operationen spezifisch ist. Derzeit besteht diese Kategorie aus den folgenden Befehlen: + [sign](cloudhsm_cli-crypto-sign.md) + [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) + [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) + [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) + [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) + [verify](cloudhsm_cli-crypto-verify.md) + [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) + [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) + [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) + [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) # Die Kategorie Kryptozeichen in CloudHSM CLI In der CloudHSM-CLI **crypto sign** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen ausgewählten privaten Schlüssel in Ihrem AWS CloudHSM Cluster verwendet, um eine Signatur zu generieren. **crypto sign**hat die folgenden Unterbefehle: + [Generieren Sie eine Signatur mit dem ECDSA-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-ecdsa.md) + [Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-ed25519ph.md) + [Generieren Sie eine Signatur mit dem RSA-PKCS-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-rsa-pkcs.md) + [Generieren Sie eine Signatur mit dem RSA-PKCS-PSS Mechanismus in CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) Um sie verwenden zu können**crypto sign**, benötigen Sie einen privaten Schlüssel in Ihrem HSM. Sie können einen privaten Schlüssel mit den folgenden Befehlen generieren: + [Schlüssel generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) + [Schlüssel generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) # Generieren Sie eine Signatur mit dem ECDSA-Mechanismus in der CloudHSM-CLI Verwenden Sie den **crypto sign ecdsa** Befehl in der CloudHSM-CLI, um eine Signatur mithilfe eines privaten EC-Schlüssels und des ECDSA-Signaturmechanismus zu generieren. Um den **crypto sign ecdsa** Befehl verwenden zu können, benötigen Sie zunächst einen privaten EC-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können mit dem [Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) Befehl, dessen `sign` Attribut auf gesetzt ist, einen privaten EC-Schlüssel generieren`true`. Die resultierende ECDSA-Signatur wird in dem Format generiert`r||s`, in dem die Komponenten R und S als binäre Rohdaten verkettet und im Base64-codierten Format zurückgegeben werden. **Anmerkung** Signaturen können mit Unterbefehlen verifiziert werden. AWS CloudHSM [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) ## Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. + Krypto-Benutzer () CUs ## Voraussetzungen + Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. ## Syntax ``` aws-cloudhsm > help crypto sign ecdsa Sign with the ECDSA mechanism Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be signed --data Base64 Encoded data to be signed --approval Filepath of signed quorum token file to approve operation --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Beispiel Diese Beispiele zeigen, wie eine Signatur mithilfe des ECDSA-Signaturmechanismus und der `SHA256` Hash-Funktion generiert wird. **crypto sign ecdsa** Dieser Befehl verwendet einen privaten Schlüssel im HSM. **Example Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten** ``` aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz { "error_code": 0, "data": { "key-reference": "0x00000000007808dd", "signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==" } } ``` **Example Beispiel: Generieren Sie eine Signatur für eine Datendatei** ``` aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt { "error_code": 0, "data": { "key-reference": "0x00000000007808dd", "signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==" } } ``` ## Argumente ****** Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll. Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md) ****** Base64-kodierte Daten, die signiert werden sollen. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt den Speicherort der zu signierenden Daten an. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt die Hash-Funktion an. Zulässige Werte: + sha1 + sha224 + sha256 + sha384 + sha512 Erforderlich: Ja ****** Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form attr.key\$1attribute\$1name=KEY\$1ATTRIBUTE\$1VALUE, um einen passenden Schlüssel auszuwählen. Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI. Erforderlich: Ja ****** Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselnutzungsdienst größer als 1 ist. ****** Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden. Zulässige Werte: + RAW + Digest ## Verwandte Themen + [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) # Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI **Wichtig** HashEdDSA-Signaturvorgänge werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt. Verwenden Sie den **crypto sign ed25519ph** Befehl in der CloudHSM-CLI, um eine Signatur mithilfe eines privaten Ed25519-Schlüssels und des HashEd DSA-Signaturmechanismus zu generieren. Weitere Informationen zu HashEd DSA finden Sie unter [NIST](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) SP 186-5, Abschnitt 7.8. Um den **crypto sign ed25519ph** Befehl verwenden zu können, benötigen Sie zunächst einen privaten Ed25519-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können einen privaten Ed25519-Schlüssel generieren, indem Sie den [Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) Befehl verwenden, wobei der `curve` Parameter auf `ed25519` und das `sign` Attribut auf gesetzt ist. `true` **Anmerkung** Signaturen können AWS CloudHSM mit [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) Unterbefehlen verifiziert werden. ## Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. + Krypto-Benutzer () CUs ## Voraussetzungen + Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. + HashEdDSA-Signaturvorgänge werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt. ## Syntax ``` aws-cloudhsm > help crypto sign ed25519ph Sign with the Ed25519ph mechanism Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --data-path The path to the file containing the data to be signed --data Base64 Encoded data to be signed --approval Filepath of signed quorum token file to approve operation --data-type The type of data passed in, either raw or digest [possible values: raw, digest] --hash-function Hash function [possible values: sha512] -h, --help Print help ``` ## Beispiel Diese Beispiele zeigen, wie eine Signatur mithilfe des **crypto sign ed25519ph** Ed25519PH-Signaturmechanismus und der Hash-Funktion generiert wird. `sha512` Dieser Befehl verwendet einen privaten Schlüssel im HSM. **Example Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten** ``` aws-cloudhsm > crypto sign ed25519ph \ --key-filter attr.label=ed25519-private \ --data-type raw \ --hash-function sha512 \ --data YWJj { "error_code": 0, "data": { "key-reference": "0x0000000000401cdf", "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==" } } ``` **Example Beispiel: Generieren Sie eine Signatur für eine Datendatei** ``` aws-cloudhsm > crypto sign ed25519ph \ --key-filter attr.label=ed25519-private \ --data-type raw \ --hash-function sha512 \ --data-path data.txt { "error_code": 0, "data": { "key-reference": "0x0000000000401cdf", "signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==" } } ``` ## Argumente ****** Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll. Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md) ****** Base64-kodierte Daten, die signiert werden sollen. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt den Speicherort der zu signierenden Daten an. Erforderlich: Ja (sofern nicht über den Datenparameter angegeben) ****** Gibt die Hash-Funktion an. ED25519Ph unterstützt nur. SHA512 Zulässige Werte: + sha512 Erforderlich: Ja ****** Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form attr.key\$1attribute\$1name=KEY\$1ATTRIBUTE\$1VALUE, um einen passenden Schlüssel auszuwählen. Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter. [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md) Erforderlich: Ja ****** Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselverwendungsdienst größer als 1 ist. ****** Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden. Zulässige Werte: + RAW + Digest Erforderlich: Ja ## Verwandte Themen + [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) # Generieren Sie eine Signatur mit dem RSA-PKCS-Mechanismus in der CloudHSM-CLI Verwenden Sie den **crypto sign rsa-pkcs** Befehl in der CloudHSM-CLI, um eine Signatur mithilfe eines privaten RSA-Schlüssels und des RSA-PKCS-Signaturmechanismus zu generieren. Um den **crypto sign rsa-pkcs** Befehl verwenden zu können, benötigen Sie zunächst einen privaten RSA-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können mit dem [Generieren Sie ein asymmetrisches RSA-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) Befehl, dessen `sign` Attribut auf gesetzt ist, einen privaten RSA-Schlüssel generieren. `true` **Anmerkung** Signaturen können AWS CloudHSM mit [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) Unterbefehlen verifiziert werden. ## Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. + Krypto-Benutzer () CUs ## Voraussetzungen + Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. ## Syntax ``` aws-cloudhsm > help crypto sign rsa-pkcs Sign with the RSA-PKCS mechanism Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be signed --data Base64 Encoded data to be signed --approval Filepath of signed quorum token file to approve operation --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Beispiel Diese Beispiele zeigen, wie eine Signatur mithilfe des RSA-PKCS-Signaturmechanismus und `SHA256` der Hash-Funktion generiert wird. **crypto sign rsa-pkcs** Dieser Befehl verwendet einen privaten Schlüssel im HSM. **Example Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten** ``` aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz { "error_code": 0, "data": { "key-reference": "0x00000000007008db", "signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==" } } ``` **Example Beispiel: Generieren Sie eine Signatur für eine Datendatei** ``` aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt { "error_code": 0, "data": { "key-reference": "0x00000000007008db", "signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==" } } ``` ## Argumente ****** Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll. Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md) ****** Base64-kodierte Daten, die signiert werden sollen. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt den Speicherort der zu signierenden Daten an. Erforderlich: Ja (sofern nicht in Form von Daten angegeben) ****** Spezifiziert die Hash-Funktion. Zulässige Werte: + sha1 + sha224 + sha256 + sha384 + sha512 Erforderlich: Ja ****** Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels. Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI. Erforderlich: Ja ****** Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselnutzungsdienst größer als 1 ist. ****** Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden. [Für RSA-PKCS müssen die Daten im DER-codierten Format übergeben werden, wie in RFC 8017, Abschnitt 9.2 spezifiziert](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) Zulässige Werte: + RAW + Digest ## Verwandte Themen + [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) # Generieren Sie eine Signatur mit dem RSA-PKCS-PSS Mechanismus in CloudHSM CLI Verwenden Sie den **crypto sign rsa-pkcs-pss** Befehl in der CloudHSM-CLI, um mithilfe eines privaten RSA-Schlüssels und des `RSA-PKCS-PSS` Signaturmechanismus eine Signatur zu generieren. Um den **crypto sign rsa-pkcs-pss** Befehl verwenden zu können, benötigen Sie zunächst einen privaten RSA-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können mit dem [Generieren Sie ein asymmetrisches RSA-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) Befehl, dessen `sign` Attribut auf gesetzt ist, einen privaten RSA-Schlüssel generieren. `true` **Anmerkung** Signaturen können AWS CloudHSM mit [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) Unterbefehlen verifiziert werden. ## Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. + Krypto-Benutzer () CUs ## Voraussetzungen + Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. ## Syntax ``` aws-cloudhsm > help crypto sign rsa-pkcs-pss Sign with the RSA-PKCS-PSS mechanism Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be signed --data Base64 Encoded data to be signed --mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --salt-length The salt length --approval Filepath of signed quorum token file to approve operation --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Beispiel Diese Beispiele zeigen, wie eine Signatur mithilfe des `RSA-PKCS-PSS` Signaturmechanismus und der `SHA256` Hash-Funktion generiert wird. **crypto sign rsa-pkcs-pss** Dieser Befehl verwendet einen privaten Schlüssel im HSM. **Example Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten** ``` aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 { "error_code": 0, "data": { "key-reference": "0x00000000007008db", "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==" } } ``` **Example Beispiel: Generieren Sie eine Signatur für eine Datendatei** ``` aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 { "error_code": 0, "data": { "key-reference": "0x00000000007008db", "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==" } } ``` ## Argumente ****** Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll. Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md) ****** Base64-kodierte Daten, die signiert werden sollen. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt den Speicherort der zu signierenden Daten an. Erforderlich: Ja (sofern nicht in Form von Daten angegeben) ****** Spezifiziert die Hash-Funktion. Zulässige Werte: + sha1 + sha224 + sha256 + sha384 + sha512 Erforderlich: Ja ****** Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels. Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI. Erforderlich: Ja ****** Spezifiziert die Funktion zur Maskengenerierung. Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen. Zulässige Werte: + mgf1-sha1 + mgf1-sha224 + mgf1-sha256 + mgf1-sha384 + mgf1-sha512 Erforderlich: Ja ****** Gibt die Länge des Salzes an. Erforderlich: Ja ****** Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselverwendungsdienst größer als 1 ist. ****** Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden. Zulässige Werte: + RAW + Digest ## Verwandte Themen + [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) ## Verwandte Themen + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) # Die Kategorie Crypto Verify in CloudHSM CLI In der CloudHSM-CLI **crypto verify** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie bestätigt, ob eine Datei mit einem bestimmten Schlüssel signiert wurde. **crypto verify**hat die folgenden Unterbefehle: + [kryptoverifizieren (ecdsa)](cloudhsm_cli-crypto-verify-ecdsa.md) + [kryptoverifizieren Sie ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) + [kryptoverifizieren Sie RSA-PKCS](cloudhsm_cli-crypto-verify-rsa-pkcs.md) + [kryptoverifizieren rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) Der **crypto verify** Befehl vergleicht eine signierte Datei mit einer Quelldatei und analysiert anhand eines bestimmten öffentlichen Schlüssels und Signierungsmechanismus, ob sie kryptografisch verwandt sind. **Anmerkung** Dateien können AWS CloudHSM mit dem Vorgang angemeldet werden. [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) # Überprüfen Sie eine mit dem ECDSA-Mechanismus signierte Signatur in der CloudHSM-CLI Verwenden Sie den **crypto verify ecdsa** Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen: + Bestätigen Sie, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. + Stellen Sie sicher, dass die Signatur mithilfe des ECDSA-Signaturmechanismus generiert wurde. + Vergleichen Sie eine signierte Datei mit einer Quelldatei und stellen Sie anhand eines bestimmten öffentlichen ECDSA-Schlüssels und Signaturmechanismus fest, ob die beiden kryptografisch verwandt sind. + Die ECDSA-Überprüfungsfunktion erwartet die Signatur in dem Format`r||s`, in dem die Komponenten R und S als binäre Rohdaten verkettet werden. Um den **crypto verify ecdsa** Befehl verwenden zu können, benötigen Sie zunächst einen öffentlichen EC-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können einen öffentlichen EC-Schlüssel importieren, indem Sie den [Importieren Sie einen Schlüssel im PEM-Format mit der CloudHSM-CLI](cloudhsm_cli-key-import-pem.md) Befehl verwenden, dessen `verify` Attribut auf gesetzt ist`true`. **Anmerkung** Sie können in der CloudHSM-CLI eine Signatur mit [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) Unterbefehlen generieren. ## Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. + Crypto-Benutzer () CUs ## Voraussetzungen + Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. ## Syntax ``` aws-cloudhsm > help crypto verify ecdsa Verify with the ECDSA mechanism Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be verified --data Base64 encoded data to be verified --signature-path The path to where the signature is located --signature Base64 encoded signature to be verified --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Beispiel Diese Beispiele zeigen, wie eine Signatur verifiziert werden kann, die mithilfe des ECDSA-Signaturmechanismus und der `SHA256` Hash-Funktion generiert wurde. **crypto verify ecdsa** Dieser Befehl verwendet einen öffentlichen Schlüssel im HSM. **Example Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten** ``` aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw== { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Beispiel: Überprüfen Sie eine Signaturdatei mit einer Datendatei** ``` aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Beispiel: Nachweis einer falschen Signaturbeziehung** Mit diesem Befehl wird überprüft, ob die unter befindlichen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert `/home/data` wurden. Dabei wird der ECDSA-Signaturmechanismus `ecdsa-public` verwendet, um die Signatur zu erzeugen, die sich in befindet. `/home/signature` Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück. ``` aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA== { "error_code": 1, "data": "Signature verification failed" } ``` ## Argumente ****** Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll. Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md) ****** Base64-kodierte Daten, die signiert werden sollen. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt den Speicherort der zu signierenden Daten an. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt die Hash-Funktion an. Zulässige Werte: + sha1 + sha224 + sha256 + sha384 + sha512 Erforderlich: Ja ****** Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels. Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI. Erforderlich: Ja ****** Base64-kodierte Signatur. Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben) ****** Gibt den Speicherort der Signatur an. Erforderlich: Ja (sofern nicht im Signaturpfad angegeben) ****** Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden. Zulässige Werte: + RAW + Digest ## Verwandte Themen + [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) # Überprüfen Sie eine mit dem HashEd DSA-Mechanismus signierte Signatur in der CloudHSM-CLI **Wichtig** HashEdVorgänge zur Überprüfung der DSA-Signatur werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt. Verwenden Sie den **crypto verify ed25519ph** Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen: + Überprüfen Sie die Signaturen von Daten oder Dateien mithilfe eines bestimmten öffentlichen Ed25519-Schlüssels. + Vergewissern Sie sich, dass die Signatur mithilfe des HashEd DSA-Signaturmechanismus generiert wurde. Weitere Informationen zu HashEd DSA finden Sie unter [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Abschnitt 7.8. Um den **crypto verify ed25519ph** Befehl verwenden zu können, benötigen Sie zunächst einen öffentlichen Ed25519-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können ein Ed25519-Schlüsselpaar mit dem [Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) Befehl generieren, bei dem der `curve` Parameter auf `ed25519` und das `verify` Attribut auf gesetzt ist`true`, oder einen öffentlichen Ed25519-Schlüssel mit dem [Importieren Sie einen Schlüssel im PEM-Format mit der CloudHSM-CLI](cloudhsm_cli-key-import-pem.md) Befehl importieren, bei dem das Attribut auf gesetzt ist. `verify` `true` **Anmerkung** Sie können in der CloudHSM-CLI eine Signatur mit [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) Unterbefehlen generieren. ## Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. + Crypto-Benutzer () CUs ## Voraussetzungen + Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. + HashEdVorgänge zur Überprüfung der DSA-Signatur werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt. ## Syntax ``` aws-cloudhsm > help crypto verify ed25519ph Verify with the Ed25519ph mechanism Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --data-path The path to the file containing the data to be verified --data Base64 encoded data to be verified --signature-path The path to where the signature is located --signature Base64 encoded signature to be verified --data-type The type of data passed in, either raw or digest [possible values: raw, digest] --hash-function Hash function [possible values: sha512] -h, --help Print help ``` ## Beispiel Diese Beispiele zeigen, wie eine Signatur verifiziert wird, **crypto verify ed25519ph** die mit dem Signaturmechanismus und der Hash-Funktion ED25519PH generiert wurde. `sha512` Dieser Befehl verwendet einen öffentlichen Ed25519-Schlüssel im HSM. **Example Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten** ``` aws-cloudhsm > crypto verify ed25519ph \ --hash-function sha512 \ --key-filter attr.label=ed25519-public \ --data-type raw \ --data YWJj \ --signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg== { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Beispiel: Überprüfen Sie eine Signaturdatei mit einer Datendatei** ``` aws-cloudhsm > crypto verify ed25519ph \ --hash-function sha512 \ --key-filter attr.label=ed25519-public \ --data-type raw \ --data-path data.txt \ --signature-path signature-file { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` ## Argumente ****** Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll. Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md) ****** Base64-kodierte Daten müssen verifiziert werden. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt den Speicherort der zu überprüfenden Daten an. Erforderlich: Ja (sofern nicht über den Datenparameter angegeben) ****** Gibt die Hash-Funktion an. ED25519Ph unterstützt nur. SHA512 Zulässige Werte: + sha512 Erforderlich: Ja ****** Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels. Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter. [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md) Erforderlich: Ja ****** Base64-kodierte Signatur. Erforderlich: Ja (sofern nicht im Signaturpfad angegeben) ****** Gibt den Speicherort der Signatur an. Erforderlich: Ja (sofern nicht über den Signaturparameter angegeben) ****** Gibt an, ob der Wert des Datenparameters als Teil des Überprüfungsalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden. Zulässige Werte: + RAW + Digest Erforderlich: Ja ## Verwandte Themen + [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) + [Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-ed25519ph.md) # Überprüfen Sie eine mit dem RSA-PKCS-Mechanismus signierte Signatur in der CloudHSM-CLI Verwenden Sie den **crypto verify rsa-pkcs** Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen: + Bestätigen Sie, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. + Stellen Sie sicher, dass die Signatur mithilfe des `RSA-PKCS` Signaturmechanismus generiert wurde. + Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind. Um den **crypto verify rsa-pkcs** Befehl verwenden zu können, müssen Sie zunächst über einen öffentlichen RSA-Schlüssel in Ihrem Cluster verfügen. AWS CloudHSM **Anmerkung** Sie können mithilfe der CloudHSM-CLI mit den Unterbefehlen eine Signatur generieren. [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) ## Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. + Crypto-Benutzer () CUs ## Voraussetzungen + Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. ## Syntax ``` aws-cloudhsm > help crypto verify rsa-pkcs Verify with the RSA-PKCS mechanism Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be verified --data Base64 encoded data to be verified --signature-path The path to where the signature is located --signature Base64 encoded signature to be verified --data-type The type of data passed in, either raw or digest [possible values: raw, digest] -h, --help Print help ``` ## Beispiel Diese Beispiele zeigen, wie eine Signatur verifiziert werden kann, die mithilfe des RSA-PKCS-Signaturmechanismus und `SHA256` der Hash-Funktion generiert wurde. **crypto verify rsa-pkcs** Dieser Befehl verwendet einen öffentlichen Schlüssel im HSM. **Example Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten** ``` aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ== { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Beispiel: Verifizieren Sie eine Signaturdatei mit einer Datendatei** ``` aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Beispiel: Beweisen Sie die Beziehung zwischen falschen Signaturen** Mit diesem Befehl wird überprüft, ob die ungültigen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert wurden. Dabei wird der RSAKCS-Signaturmechanismus `rsa-public` verwendet, um die Signatur zu erzeugen, die sich in befindet. `/home/signature` Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück. ``` aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ== { "error_code": 1, "data": "Signature verification failed" } ``` ## Argumente ****** Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll. Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md) ****** Base64-kodierte Daten, die signiert werden sollen. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt den Speicherort der zu signierenden Daten an. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt die Hash-Funktion an. Zulässige Werte: + sha1 + sha224 + sha256 + sha384 + sha512 Erforderlich: Ja ****** Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels. Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI. Erforderlich: Ja ****** Base64-kodierte Signatur. Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben) ****** Gibt den Speicherort der Signatur an. Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben) ****** Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden. [Für RSA-PKCS müssen die Daten im DER-codierten Format übergeben werden, wie in RFC 8017, Abschnitt 9.2 spezifiziert](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) Zulässige Werte: + RAW + Digest ## Verwandte Themen + [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) # Verifizieren Sie eine Signatur, die mit dem RSA-PKCS-PSS Mechanismus in der CloudHSM-CLI signiert wurde Verwenden Sie den **crypto sign rsa-pkcs-pss** Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen. + Bestätigen Sie, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. + Stellen Sie sicher, dass die Signatur mithilfe des RSA-PKCS-PSS Signaturmechanismus generiert wurde. + Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind. Um den **crypto verify rsa-pkcs-pss** Befehl verwenden zu können, müssen Sie zunächst über einen öffentlichen RSA-Schlüssel in Ihrem Cluster verfügen. AWS CloudHSM Sie können einen öffentlichen RSA-Schlüssel mit dem Befehl key import pem (ADD UNWRAP LINK HERE) importieren, wobei das `verify` Attribut auf gesetzt ist. `true` **Anmerkung** Sie können mithilfe der CloudHSM-CLI mit den Unterbefehlen eine Signatur generieren. [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) ## Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. + Crypto-Benutzer () CUs ## Voraussetzungen + Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. ## Syntax ``` aws-cloudhsm > help crypto verify rsa-pkcs-pss Verify with the RSA-PKCS-PSS mechanism Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature > Options: --cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key --hash-function [possible values: sha1, sha224, sha256, sha384, sha512] --data-path The path to the file containing the data to be verified --data Base64 encoded data to be verified --signature-path The path to where the signature is located --signature Base64 encoded signature to be verified --data-type The type of data passed in, either raw or digest [possible values: raw, digest] --mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] --salt-length The salt length -h, --help Print help ``` ## Beispiel Diese Beispiele zeigen, wie eine Signatur verifiziert werden kann, die mithilfe des RSA-PKCS-PSS Signaturmechanismus und der `SHA256` Hash-Funktion generiert wurde. **crypto verify rsa-pkcs-pss** Dieser Befehl verwendet einen öffentlichen Schlüssel im HSM. **Example Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten** ``` aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg== { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Beispiel: Verifizieren Sie eine Signaturdatei mit einer Datendatei** ``` aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file { "error_code": 0, "data": { "message": "Signature verified successfully" } } ``` **Example Beispiel: Nachweis einer falschen Signaturbeziehung** Mit diesem Befehl wird überprüft, ob die ungültigen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert wurden. Dabei wird der RSAPKCSPSS-Signaturmechanismus `rsa-public` verwendet, um die Signatur zu erzeugen, die sich in befindet. `/home/signature` Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück. ``` aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg== { "error_code": 1, "data": "Signature verification failed" } ``` ## Argumente ****** Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll. Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md) ****** Base64-kodierte Daten, die signiert werden sollen. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt den Speicherort der zu signierenden Daten an. Erforderlich: Ja (sofern nicht über den Datenpfad angegeben) ****** Gibt die Hash-Funktion an. Zulässige Werte: + sha1 + sha224 + sha256 + sha384 + sha512 Erforderlich: Ja ****** Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels. Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI. Erforderlich: Ja ****** Spezifiziert die Funktion zur Maskengenerierung. Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen. Zulässige Werte: + mgf1-sha1 + mgf1-sha224 + mgf1-sha256 + mgf1-sha384 + mgf1-sha512 Erforderlich: Ja ****** Base64-kodierte Signatur. Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben) ****** Gibt den Speicherort der Signatur an. Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben) ****** Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden. Zulässige Werte: + RAW + Digest ## Verwandte Themen + [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) + [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)